⭕️ مهارتهای رهبری که اکثر مدیران فاقد آنها هستند
۱. دریافت دیدگاهها و نقطهنظرات دیگران:
بسیاری از مدیران نمیتوانند دنیا را از نگاه ذینفعان مختلف سازمان همچون مشتریان، هیات مدیره، کارکنان و نهادهای قانونگذار ببینند.
۲. کنترل هیجانات و احساسات:
مدیران موفق، زمانی که در موقعیت ناراحتکننده یا خوشحالکنندهای قرار میگیرند، نفسی عمیق کشیده و هیجانات خویش را کنترل مینمایند.
۳. کنجکاوی مفهومی:
مدیران موفق زمانی که در برابر ایدهای جدید قرار میگیرند، دوست دارند بیشتر در مورد آن بدانند، اما مدیران ضعیف معمولا" با گفتن جملههایی همچون "سیاست شرکت، اجازه چنین کاری را نمیدهد" و یا اینکه "این تصمیم به شما ربطی ندارد"، کنجکاوی خاصی در برابر ایدههای جدید از خود نشان نمیدهند.
۴. تفکر انتقادی:
تفکر انتقادی برای همه مهم است، اما اهمیت آن قطعا" برای افرادی که گروهی از مردم را مدیریت میکنند، بیشتر است.
۵. تفکر سیستمی:
مدیران ضعیف، توانایی دیدن رابطه و وابستگی میان مسائل مختلف و حل یکپارچه آنها را ندارند، در نتیجه، بیشتر به دنبال حل یک مساله در فضای ایزوله هستند. چنین راهحلهایی، معمولا" پایدار نخواهند ماند.
۶. فروتنی:
مدیران قوی اغلب باور دارند که پاسخ همه مسائل را نمیدانند و به عقلجمعی و مشورت، محتاج هستند. آنها خود را خردمندتر و باهوشتر از سایرین نمیدانند.
۷. مربیگری:
مربیگری، هنر گوشدادن و همدلی است. مدیران ضعیف، اغلب بر دستورات مدیریتی و قوه قهریه تکیه دارند تا انجام فرایند مربیگری.
۱. دریافت دیدگاهها و نقطهنظرات دیگران:
بسیاری از مدیران نمیتوانند دنیا را از نگاه ذینفعان مختلف سازمان همچون مشتریان، هیات مدیره، کارکنان و نهادهای قانونگذار ببینند.
۲. کنترل هیجانات و احساسات:
مدیران موفق، زمانی که در موقعیت ناراحتکننده یا خوشحالکنندهای قرار میگیرند، نفسی عمیق کشیده و هیجانات خویش را کنترل مینمایند.
۳. کنجکاوی مفهومی:
مدیران موفق زمانی که در برابر ایدهای جدید قرار میگیرند، دوست دارند بیشتر در مورد آن بدانند، اما مدیران ضعیف معمولا" با گفتن جملههایی همچون "سیاست شرکت، اجازه چنین کاری را نمیدهد" و یا اینکه "این تصمیم به شما ربطی ندارد"، کنجکاوی خاصی در برابر ایدههای جدید از خود نشان نمیدهند.
۴. تفکر انتقادی:
تفکر انتقادی برای همه مهم است، اما اهمیت آن قطعا" برای افرادی که گروهی از مردم را مدیریت میکنند، بیشتر است.
۵. تفکر سیستمی:
مدیران ضعیف، توانایی دیدن رابطه و وابستگی میان مسائل مختلف و حل یکپارچه آنها را ندارند، در نتیجه، بیشتر به دنبال حل یک مساله در فضای ایزوله هستند. چنین راهحلهایی، معمولا" پایدار نخواهند ماند.
۶. فروتنی:
مدیران قوی اغلب باور دارند که پاسخ همه مسائل را نمیدانند و به عقلجمعی و مشورت، محتاج هستند. آنها خود را خردمندتر و باهوشتر از سایرین نمیدانند.
۷. مربیگری:
مربیگری، هنر گوشدادن و همدلی است. مدیران ضعیف، اغلب بر دستورات مدیریتی و قوه قهریه تکیه دارند تا انجام فرایند مربیگری.
معیار استیو جابز برای استخدام افراد در شرکت اپل تخصص افراد نبود، بلکه معیاری بود تا اندازه ای دور از ذهن. برای دانستن معیار استیو جابز برای استخدام افراد در شرکت اپل، این نوشتار از گویا آی تی را تا به انتها بخوانید.
استیو جابز زمانی که اپل را تأسیس کرد خود می دانست که اپل روزی به موفقیت خواهد رسید. این شرکت در همان اوایل کار دو مدیر حرفه ای را جذب نمود، اما فعالیت این دو مدیر دیری نپایید چرا که توسط استیو جابز اخراج شدند. پس از آن است که استیو جابز در پی یک ویژگی مهم در کارکنان و افرادی بود که قصد فعالیت در شرکت اپل را داشتند و این ویژگی چیزی نیست جز اشتیاق.
جابز بر آن بود که اشتیاق، یا همان شور و علاقه، بسیار بیشتر از تخصص می تواند در موفقیت سهیم باشد چرا که افراد مشتاق حتماً در زمینه ی کاری مورد علاقه ی خود از آخرین اخبار و تکنولوژی ها با خبر هستند و به همین سبب می دانند که به چه طریقی می توان کارها را انجام داد.
جابز اهمیتی به این موضوع نمی داد که فرد مورد نظر در کجا تحصیل کرده یا پیش از این در چه مکانی مشغول به کار بوده است. او به دنبال کسانی بود که عاشق هستند و مشتاق. او کسانی را خوش داشت که با شور و اشتیاق در پی حل مسائل هستند.
پس از آن که #جابز دو مدیر حرفه ای را اخراج کرد، یک خانم با نام دبی #کولمن، که پیش از آن در قسمتی دیگر مشغول به کار بود، را جایگزین مدیران اخراجی کرد. در همان زمان، مارک کوبانِ میلیاردر پیش بینی کرد که دبی کولمن ۳۲ ساله می تواند بیشترین ارزش را در شرکت اپل از آن خود کند. سه سال پس از این ماجرا بود که همین کولمن توانست به مدیر ارشد مالی اپل ارتقا یابد، امری که صرفاً کوبان و جابز انتظار آن را می کشیدند.
در واقع از نگاه #جابز مهم ترین چیز، همان طور که گفته شد، شور و اشتیاق و علاقه است. یکی از نخستین مهندسان نرم افزار #اپل در همین راستا می گوید زمانی که فردی برای مصاحبه ی شغلی می آمد، تیم مصاحبه کننده آنچنان پرسشی نمی پرسید و یک نمونه ی اولیه از مکینتاش را به او نشان می داد. اگر فرد مورد نظر واکنشی آنچنانی از خود نشان نمی داد خیلی سریع رد می شد. اما اگر چشمانش برق می زدند و شور و اشتیاقی واقعی از خود نشان می داد می توانست در شرکت اپل مشغول به کار شود.
استیو جابز زمانی که اپل را تأسیس کرد خود می دانست که اپل روزی به موفقیت خواهد رسید. این شرکت در همان اوایل کار دو مدیر حرفه ای را جذب نمود، اما فعالیت این دو مدیر دیری نپایید چرا که توسط استیو جابز اخراج شدند. پس از آن است که استیو جابز در پی یک ویژگی مهم در کارکنان و افرادی بود که قصد فعالیت در شرکت اپل را داشتند و این ویژگی چیزی نیست جز اشتیاق.
جابز بر آن بود که اشتیاق، یا همان شور و علاقه، بسیار بیشتر از تخصص می تواند در موفقیت سهیم باشد چرا که افراد مشتاق حتماً در زمینه ی کاری مورد علاقه ی خود از آخرین اخبار و تکنولوژی ها با خبر هستند و به همین سبب می دانند که به چه طریقی می توان کارها را انجام داد.
جابز اهمیتی به این موضوع نمی داد که فرد مورد نظر در کجا تحصیل کرده یا پیش از این در چه مکانی مشغول به کار بوده است. او به دنبال کسانی بود که عاشق هستند و مشتاق. او کسانی را خوش داشت که با شور و اشتیاق در پی حل مسائل هستند.
پس از آن که #جابز دو مدیر حرفه ای را اخراج کرد، یک خانم با نام دبی #کولمن، که پیش از آن در قسمتی دیگر مشغول به کار بود، را جایگزین مدیران اخراجی کرد. در همان زمان، مارک کوبانِ میلیاردر پیش بینی کرد که دبی کولمن ۳۲ ساله می تواند بیشترین ارزش را در شرکت اپل از آن خود کند. سه سال پس از این ماجرا بود که همین کولمن توانست به مدیر ارشد مالی اپل ارتقا یابد، امری که صرفاً کوبان و جابز انتظار آن را می کشیدند.
در واقع از نگاه #جابز مهم ترین چیز، همان طور که گفته شد، شور و اشتیاق و علاقه است. یکی از نخستین مهندسان نرم افزار #اپل در همین راستا می گوید زمانی که فردی برای مصاحبه ی شغلی می آمد، تیم مصاحبه کننده آنچنان پرسشی نمی پرسید و یک نمونه ی اولیه از مکینتاش را به او نشان می داد. اگر فرد مورد نظر واکنشی آنچنانی از خود نشان نمی داد خیلی سریع رد می شد. اما اگر چشمانش برق می زدند و شور و اشتیاقی واقعی از خود نشان می داد می توانست در شرکت اپل مشغول به کار شود.
گاهی رعایت اصول امنیتی بسیار ساده است:
1-حتی المقدر دسترسی فیزیکی به سرورها و تجهیزات شبکه را محدود کنید.
2-دسترسی به رسانه های ذخیره سازی نظیر فلش و هارد اکسترنال را محدود کنید.
3-به هیچ عنوان با اکانت Admin وارد سیستم نشوید و با runas و یا su کار کنید .
4-رمز عبور پیچیده و حرفه ای انتخاب کنید.
5-فایروال سیستم ها را غیر فعال نکنید.
6-از آنتی ویروس بروز و نسخه اصلی استفاده کنید.
7 -سیستم های خود را مرتب بروزرسانی کنید.
8-اینترفیس های بلااستفاده را disable و یا shutdown کنید.
9-از هیچ نوع crack ای استفاده نکنید.
10-از سایتهای رسمی دانلود کنید.
11-ایمیلهای مشکوک و پستها و ایمیلهای دارای لینک را به هیچ وجه باز نکنید.
12-لاگ های امنیتی را مرتب بخوانید.
13-حتی اگر برای لحظه ای کوتاه با سیستم خود کار ندارید ،سیستم را lock کنید.
14-از پروتکل های ارتباطی امنیتی نظیر IPSec , SSL ,SSTP ,IKE ,SSH و ... در جای مناسب خود استفاده کنید.
15-از روشهای رمزنگاری اطلاعات مثل EFS ,BitLocker و ... درجای مناسب خود استفاده کنید.
16-سرویسها و برنامه های غیر ضروری را disable و یا uninstall کنید.
17-نصب و بروزرسانی patch ها را در اولویتهای خود قرار دهید.
18 -از پروتکلها و تکنولوژی های محدود کننده ارتباطات نظیر
vlan ،port security,DMZ,...
استفاده کنید.
19-از سیستم عاملهای حرفه ای نظیر Open BSD ،Free BSD ،sun solaris و قابلیتهای حرفه ای آن استفاده کنید.
20 -تستهای نفوذ و ادواری را به شکل مرتب انجام دهید.
21-دفاع در عمق را به شکل عملی و در هر 7 لایه شبکه پیاده سازی کنید.
22-دانش خود را بروزرسانی کنید.
23 -از سایتهای حرفه ای امنیت و ضد امنیت بازدید کنید.
24-مستند سازی امنیتی را همواره مدنظر داشته باشید.
25-از تکنولوژی های واسط ارتباط مثل state full firewall
, proxy server ,UTM ,NAPT ,...
استفاده مناسب کنید.
26-نظارت تصویری را جدی بگیرید.
27-در مسائل امنیتی تسامح و تساهل را کنار بگذارید.
28 -فرآیندهای AAAA سازمان را بروزرسانی کنید.
29-الگوریتمهای پیشرفته رمزنگاری در احراز هویت نظیر AES را مد نظر داشتل باشید.
30 -پورتهای Listen خطرناک می باشند آنها را بلاک کنید.
31-پروتکلهای قدیمی نظیر WEP ، NetBt , LANMAN و ... را کنار بگذارید.
1-حتی المقدر دسترسی فیزیکی به سرورها و تجهیزات شبکه را محدود کنید.
2-دسترسی به رسانه های ذخیره سازی نظیر فلش و هارد اکسترنال را محدود کنید.
3-به هیچ عنوان با اکانت Admin وارد سیستم نشوید و با runas و یا su کار کنید .
4-رمز عبور پیچیده و حرفه ای انتخاب کنید.
5-فایروال سیستم ها را غیر فعال نکنید.
6-از آنتی ویروس بروز و نسخه اصلی استفاده کنید.
7 -سیستم های خود را مرتب بروزرسانی کنید.
8-اینترفیس های بلااستفاده را disable و یا shutdown کنید.
9-از هیچ نوع crack ای استفاده نکنید.
10-از سایتهای رسمی دانلود کنید.
11-ایمیلهای مشکوک و پستها و ایمیلهای دارای لینک را به هیچ وجه باز نکنید.
12-لاگ های امنیتی را مرتب بخوانید.
13-حتی اگر برای لحظه ای کوتاه با سیستم خود کار ندارید ،سیستم را lock کنید.
14-از پروتکل های ارتباطی امنیتی نظیر IPSec , SSL ,SSTP ,IKE ,SSH و ... در جای مناسب خود استفاده کنید.
15-از روشهای رمزنگاری اطلاعات مثل EFS ,BitLocker و ... درجای مناسب خود استفاده کنید.
16-سرویسها و برنامه های غیر ضروری را disable و یا uninstall کنید.
17-نصب و بروزرسانی patch ها را در اولویتهای خود قرار دهید.
18 -از پروتکلها و تکنولوژی های محدود کننده ارتباطات نظیر
vlan ،port security,DMZ,...
استفاده کنید.
19-از سیستم عاملهای حرفه ای نظیر Open BSD ،Free BSD ،sun solaris و قابلیتهای حرفه ای آن استفاده کنید.
20 -تستهای نفوذ و ادواری را به شکل مرتب انجام دهید.
21-دفاع در عمق را به شکل عملی و در هر 7 لایه شبکه پیاده سازی کنید.
22-دانش خود را بروزرسانی کنید.
23 -از سایتهای حرفه ای امنیت و ضد امنیت بازدید کنید.
24-مستند سازی امنیتی را همواره مدنظر داشته باشید.
25-از تکنولوژی های واسط ارتباط مثل state full firewall
, proxy server ,UTM ,NAPT ,...
استفاده مناسب کنید.
26-نظارت تصویری را جدی بگیرید.
27-در مسائل امنیتی تسامح و تساهل را کنار بگذارید.
28 -فرآیندهای AAAA سازمان را بروزرسانی کنید.
29-الگوریتمهای پیشرفته رمزنگاری در احراز هویت نظیر AES را مد نظر داشتل باشید.
30 -پورتهای Listen خطرناک می باشند آنها را بلاک کنید.
31-پروتکلهای قدیمی نظیر WEP ، NetBt , LANMAN و ... را کنار بگذارید.
گاهی رعایت اصول امنیتی بسیار ساده است :
32-پورتهای Net BIOS از سمت اینترنت به داخل شبکه خود را مسدود کنید (پورتهای 135 تا 139 ؛TCP و UDP)
33-پورت Sharing را از سمت اینترنت به شبکه داخلی مسدود کنید (TCP 445)
34- تمامی ACL ها و VLAN MAP های خود را بررسی و بروز رسانی کنید.
35-با مجموعه ابزارهای Vmware vshield ماشینهای مجازی خود را امن کنید.
36-از پیکربندی vlan ,pvlan ,vvlan های خود مطمئن شده و nvlan های خود را چک آپ کنید.
37-دسترسی کاربران خود به منابع محلی و شبکه ای را با SACL , Rights های حرفه ای محدود کنید.
38-از فرآیندهای PKI در انواع ارتباطات خود نظیر DirectAccess , Tunnel ,IPSec ، https ,ftps ,ssh و دیگر ارتباطات حساس استفاده کنید.
39-سرویس DNS خود را با Directiry Service سازمان یکپارچه نموده ،فرآیندهای DNS SEC و Dynamic DNS خود را بررسی کنید.
40-سرویس DHCP خود را Authorized و خطرات DHCP snoop را مد نظر داشته باشید .بر فرآیند dns dynamic update از طریق dns update proxy نظارت کنید.
41-برفرآیند service localization و FSMO سازمان نظارت دستی داشته باشید.
42-تمامی site link های سازمان را دستی ایجاد نموده و از site link های پیش فرض استفاده نکنید .بر مدیریت Replication خود نظارت کنید و از ساختارهای DFS-R در Reolication های خود استفاده کنید.
43-از NAP در RDP،DHCP ،RAS و DirectAccess استفاده کنید.
44-از NAC و امکانات حرفه ای آن در شبکه خود بهره ببرید.
45-بجای استفاده از روتینگ های ساده و مبتنی بر مقصد از policy routing استفاده کنید
46-مراقب ساختارهای +PVST و BPDU Gaurd های سازمان خود باشید.
47-مراقب تنظیمات پیش فرض و وضعیت پورتهای روتر ها و سوئیچ های خود باشید.
48-از ACL های حرفه ای در NAPT خود استفاده کنید.
49-مراقب SNMP و SNMP Trap ها در تجهیزات شبکه خود باشید.
50-محافظتهای لازم از سرورهای SSO ، LDAP , Kerberos و سرورهای GC خود بعمل آورید .
51-مراقب RDP Broker های خود باشید.
52-سرورهای RDP Gateway خودرا بازبینی امنیتی کنید.
53-ساختارهای Proxy RADIUS سازمان خود را بررسی و گاردهای لازم را برروی UDP 1812,1813,1645,1646 پیاده سازی کنید.
54-سیاستهای امنیتی را در GPO جدی بگیرید.
55-فرآیندهای Account Lockout را جدی بگیرید.
56-سیاستهای بازرسی را در سیستم ها فعال کنید.
57-در سوئیچینگ خود DAI را پیاده سازی کنید.
58-مراقب vlan hopping باشید.
59-از روشهای basic authentication و windows authentication در وب سرور خود به هیچ وجه استفاده نکنید.
60-متدهای وب را در ساختار وب خود محدود و مدیریت کنید.
32-پورتهای Net BIOS از سمت اینترنت به داخل شبکه خود را مسدود کنید (پورتهای 135 تا 139 ؛TCP و UDP)
33-پورت Sharing را از سمت اینترنت به شبکه داخلی مسدود کنید (TCP 445)
34- تمامی ACL ها و VLAN MAP های خود را بررسی و بروز رسانی کنید.
35-با مجموعه ابزارهای Vmware vshield ماشینهای مجازی خود را امن کنید.
36-از پیکربندی vlan ,pvlan ,vvlan های خود مطمئن شده و nvlan های خود را چک آپ کنید.
37-دسترسی کاربران خود به منابع محلی و شبکه ای را با SACL , Rights های حرفه ای محدود کنید.
38-از فرآیندهای PKI در انواع ارتباطات خود نظیر DirectAccess , Tunnel ,IPSec ، https ,ftps ,ssh و دیگر ارتباطات حساس استفاده کنید.
39-سرویس DNS خود را با Directiry Service سازمان یکپارچه نموده ،فرآیندهای DNS SEC و Dynamic DNS خود را بررسی کنید.
40-سرویس DHCP خود را Authorized و خطرات DHCP snoop را مد نظر داشته باشید .بر فرآیند dns dynamic update از طریق dns update proxy نظارت کنید.
41-برفرآیند service localization و FSMO سازمان نظارت دستی داشته باشید.
42-تمامی site link های سازمان را دستی ایجاد نموده و از site link های پیش فرض استفاده نکنید .بر مدیریت Replication خود نظارت کنید و از ساختارهای DFS-R در Reolication های خود استفاده کنید.
43-از NAP در RDP،DHCP ،RAS و DirectAccess استفاده کنید.
44-از NAC و امکانات حرفه ای آن در شبکه خود بهره ببرید.
45-بجای استفاده از روتینگ های ساده و مبتنی بر مقصد از policy routing استفاده کنید
46-مراقب ساختارهای +PVST و BPDU Gaurd های سازمان خود باشید.
47-مراقب تنظیمات پیش فرض و وضعیت پورتهای روتر ها و سوئیچ های خود باشید.
48-از ACL های حرفه ای در NAPT خود استفاده کنید.
49-مراقب SNMP و SNMP Trap ها در تجهیزات شبکه خود باشید.
50-محافظتهای لازم از سرورهای SSO ، LDAP , Kerberos و سرورهای GC خود بعمل آورید .
51-مراقب RDP Broker های خود باشید.
52-سرورهای RDP Gateway خودرا بازبینی امنیتی کنید.
53-ساختارهای Proxy RADIUS سازمان خود را بررسی و گاردهای لازم را برروی UDP 1812,1813,1645,1646 پیاده سازی کنید.
54-سیاستهای امنیتی را در GPO جدی بگیرید.
55-فرآیندهای Account Lockout را جدی بگیرید.
56-سیاستهای بازرسی را در سیستم ها فعال کنید.
57-در سوئیچینگ خود DAI را پیاده سازی کنید.
58-مراقب vlan hopping باشید.
59-از روشهای basic authentication و windows authentication در وب سرور خود به هیچ وجه استفاده نکنید.
60-متدهای وب را در ساختار وب خود محدود و مدیریت کنید.
گاهی رعایت اصول امنیتی بسیار ساده است:
61-از نصب Acrobat reader بر روی سرورهای خود اجتناب کنید.
62-از نصب flash player برروی سرورهای خود اجتناب کنید.
63-ازنصب oracle java JRE حتی المقدور برروی سرورها اجتناب کنید.
64-ازنصب apple quick time برروی سرورهای خود اجتناب کنید.
65-روی سرورهای خود apple itunes نصب نکنید.
66-به هیچ عنوان VLC player را برروی سرورهای خود نصب نکنید.
67-به هیچ عنوان codec های ناشناس را برروی سیستم های خود نصب نکنید.
68-از نصب firefox برروی سرورهای خوداجتناب کنید و بخصوص هیچ نوع add on برروی آن نصب نکنید.
69- به هیچ عنوان adobe shockwave player برروی سرور خود نصب نکنید .
70-مراقب open ssl باشید و به شکل مستمر آن را بروزرسانی کنید.
71-از نصب محصولات ms office برروی سرورهای خود اجتناب کنید.
72-از نصب cold fusion برروی سرورهای خود اجتناب کنید.
73-مراقب Biztalk server در شبکه باشید و آنرا بروزرسانی کنید.
74-ترجیحا IE را از روی سرورهای خود uninstall کنید.
75-از web surfing پشت سرورهای شبکه خودداری کنید.
76-از چک کردن ایمیل پشت سرورهای شبکه خودداری کنید.
77-از دانلود کردن هر چیزی پشت سرورهای شبکه خودداری کنید.
78-از اتصال flash memory به سرورهای شبکه خودداری کنید.
79-مراقب JDK بخصوص در سرورهای شبکه باشید.
80-مراقب fusion middleware باشید.
81-ترجیحا از safari برای browse استفاده نکنید.
82-در 3 سال اخیر حملات سنگینی علیه
MAC OS
صورت پذیرفته ،بروزرسانی آنها را در اولویت قرار دهید.
83-به هیچ عنوان web server و data base server نباید بر روی یک سرور نصب شوند.
84-فایروالهای لبه edge firewall را عضو دامین نکنید.
85-سرورهای TMG و UAGرا در front شبکه عضو دامین نکنید.
86-از ارتباط امن بین RAS و BRAS های سازمان با RADIUS SERVER اطمینان حاصل کنید.
87-از ارتباط امن بین Captivate portal با سرورهای اکانتینگ مطمئن شوید.
89-تنظیمات port forwarding خود را بشدت مراقبت کنید.
90-در تنظیمات server publishing از ssl پیشرفته استفاده کنید.
61-از نصب Acrobat reader بر روی سرورهای خود اجتناب کنید.
62-از نصب flash player برروی سرورهای خود اجتناب کنید.
63-ازنصب oracle java JRE حتی المقدور برروی سرورها اجتناب کنید.
64-ازنصب apple quick time برروی سرورهای خود اجتناب کنید.
65-روی سرورهای خود apple itunes نصب نکنید.
66-به هیچ عنوان VLC player را برروی سرورهای خود نصب نکنید.
67-به هیچ عنوان codec های ناشناس را برروی سیستم های خود نصب نکنید.
68-از نصب firefox برروی سرورهای خوداجتناب کنید و بخصوص هیچ نوع add on برروی آن نصب نکنید.
69- به هیچ عنوان adobe shockwave player برروی سرور خود نصب نکنید .
70-مراقب open ssl باشید و به شکل مستمر آن را بروزرسانی کنید.
71-از نصب محصولات ms office برروی سرورهای خود اجتناب کنید.
72-از نصب cold fusion برروی سرورهای خود اجتناب کنید.
73-مراقب Biztalk server در شبکه باشید و آنرا بروزرسانی کنید.
74-ترجیحا IE را از روی سرورهای خود uninstall کنید.
75-از web surfing پشت سرورهای شبکه خودداری کنید.
76-از چک کردن ایمیل پشت سرورهای شبکه خودداری کنید.
77-از دانلود کردن هر چیزی پشت سرورهای شبکه خودداری کنید.
78-از اتصال flash memory به سرورهای شبکه خودداری کنید.
79-مراقب JDK بخصوص در سرورهای شبکه باشید.
80-مراقب fusion middleware باشید.
81-ترجیحا از safari برای browse استفاده نکنید.
82-در 3 سال اخیر حملات سنگینی علیه
MAC OS
صورت پذیرفته ،بروزرسانی آنها را در اولویت قرار دهید.
83-به هیچ عنوان web server و data base server نباید بر روی یک سرور نصب شوند.
84-فایروالهای لبه edge firewall را عضو دامین نکنید.
85-سرورهای TMG و UAGرا در front شبکه عضو دامین نکنید.
86-از ارتباط امن بین RAS و BRAS های سازمان با RADIUS SERVER اطمینان حاصل کنید.
87-از ارتباط امن بین Captivate portal با سرورهای اکانتینگ مطمئن شوید.
89-تنظیمات port forwarding خود را بشدت مراقبت کنید.
90-در تنظیمات server publishing از ssl پیشرفته استفاده کنید.
فواید بکارگیری SSO در احراز هویت کاربران
امروزه یافتن یک برنامه کاربردی جدی که در آن نیازهای امنیتی و کنترل دسترسی وجود نداشته باشد، اگر ناممکن نباشد کاری بسیار سخت خواهد بود. در دنیای اینترنت و درجایی که تمامی ارتباطات، تبادلات بانکی، تماسها و … درحال الکترونیکی شدن هستند، اثبات وجود خود در اینترنت، اهمیت بسیاری پیدا میکند و با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است و در تمام زیرسیستمها و سرویسهای درونسازمانی برای استفاده از خدمات اختصاصی باید به طریقی هویت خود را آشکار سازید.
بطور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:
جامعیت: ۱ اطمینان از اینکه اطلاعات، صحیح و کامل است؛ یعنی دستخوردگی و عدم تغییر پیام و اطمینان از آنکه دادهها با اطلاعات مخرب مثل یک ویروس آلوده نشدهاند.
محرمانگی: ۲ اطمینان از اینکه اطلاعات تنها توسط افراد یا سازمانهای مجاز قابل استفاده است و هیچگونه فاشسازی اطلاعات برای افراد تشخیص و تأیید هویت نشده، صورت نخواهد گرفت.
شناسایی و احراز هویت: ۳ گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند و اطمینان از اینکه پیام حقیقت از کسی که تصور میکنید، رسیده باشد.
انکارناپذیری: ۴ هیچیک از دو سوی ارتباط نتوانند مشارکت خود در ارتباط را انکار کنند؛ یعنی تمام امکانات شبکه بدون دردسر و زحمت در اختیار آنها که مجاز به استفاده از شبکه هستند، باشند و در ضمن هیچکس نتواند در دسترسی به شبکه ایجاد اشکال نماید.
در مقالهای که پیش رو دارید ابتدا به مبحث شناسایی و احراز هویت و انواع تکنیکهای احراز هویت بعنوان یکی از مهمترین عوامل امنیت اطلاعات پرداخته میشود. در ادامه تعاریف سیستم SSO و مکانیزم پشتیبان آن CAS بعنوان یکی از انواع سیستمهای احراز هویت ارائه میشود. درنهایت ساختار پیادهسازی SSO توضیح داده خواهد شد.
۱- شناسایی و احراز هویت (I & A)
شناسایی و احراز هویت دو هسته اصلی در بیشتر سیستمهای کنترل دسترسی هستند.
شناسایی عملی است که یک کاربر برای معرفی خود به یک سیستم اطلاعاتی استفاده میکند که معمولا در قالب یک شناسه ورود یا Login ID وجود دارد. درواقع شناسایی، فرایندی است که طی آن، فرد هویتی را اظهار میکند و از این نقطه، پاسخگویی آغاز میشود. ارائه نام کاربری، شناسه ورود، شماره شناسایی یا کارت هوشمند توسط کاربر، نمایانگر فرایند شناسایی است.
احرازهویت عبارتست از فرآیند بررسی اعتبار هویت ادعاشده. احراز هویت نیازمند ارائه اطلاعات دیگری توسط فرد است که باید دقیقاً با هویت مذکور، مرتبط باشد و یکی از مهمترین مباحث در حوزه امنیت سیستمهای کامپیوتری میباشد. احراز هویت، هویت فرد را بوسیله مقایسه یک یا چند عامل با پایگاه دادهای از هویتهای معتبر، بررسی میکند. بصورت کلی در حوزه امنیت اطلاعات، احراز هویت یا Authentication به چهار تیپ ساده تقسیمبندی میشود:
۱-۱- چیزی که شما میدانید (What You Know) : سادهترین و البته پرکاربردترین روش احراز هویت استفاده از نام کاربری و رمز عبور یا همان Username و Password میباشد.استفاده از رمز عبور برای احراز هویت
احراز هویت با رمز عبور
این روش بعنوان ضعیفترین شکل حفاظت محسوب میشود. رمزهای عبور ممکن است افشا شوند و به همین دلیل بایستی از آنها محافظت شود.
۱-۲- چیزی که شما دارید (What You Have): درواقع داشتن وسیلهای برای احراز هویت است که این وسیله معمولاً بعنوان کارت هوشمند یا Smartcard ، در قالب قفلها یا Token های USB و یا سایر مواردی از این قبیل میباشد و کاربر برای احراز هویت حتماً باید این وسیله را همراه خود داشته باشد. برای احراز هویت شدن در چنین روشی کاربر میبایست Smartcard یا Token خود را در دستگاهی که ویژه احراز هویت طراحی شده است وارد کند.احراز هویت با Token
احراز هویت با Token
در واقع token ها ابزارهای فیزیکی هستند که در اندازهایی مانند کارتهای هوشمند و یا حافظههای فلش وجود دارند و دستگاههای مولد رمز عبور هستند که افراد باید آنها را همراه خود داشته باشند. این ابزارها وظیفه نگهداری یا تولید
رمزهای عبور ایستا و یا پویا را برعهده دارند. چند نوع توکن داریم
توکنهای رمز عبور ایستا
توکنهای رمزهای عبور پویای همگام
توکنهای رمزهای عبور پویای ناهمگام
۱-۳- چیزی که شما هستید (What You Are): درواقع احراز هویت با استفاده از ویژگیهای خاص بدن شماست، چهره شما، اثر انگشت شما، DNA شما، شبکیه و مردمک چشم شما از مواردی است که جزو این عامل به حساب میایند و قطعاً تا به حال اثبات شده است که اثر انگشت و DNA شما در کل دنیا منحصربه فرد میباشد .احراز هویت با عوامل بیومتریک
امروزه یافتن یک برنامه کاربردی جدی که در آن نیازهای امنیتی و کنترل دسترسی وجود نداشته باشد، اگر ناممکن نباشد کاری بسیار سخت خواهد بود. در دنیای اینترنت و درجایی که تمامی ارتباطات، تبادلات بانکی، تماسها و … درحال الکترونیکی شدن هستند، اثبات وجود خود در اینترنت، اهمیت بسیاری پیدا میکند و با گسترش فناوری اطلاعات و ارتباطات، امنیت به یکی از مهمترین مباحث در فرآیند طراحی و مدیریت سازمانها تبدیل شده است و در تمام زیرسیستمها و سرویسهای درونسازمانی برای استفاده از خدمات اختصاصی باید به طریقی هویت خود را آشکار سازید.
بطور کلی، برای برقراری یک محیط امن، چند فاکتور اساسی باید موجود باشد. این فاکتورها عبارتند از:
جامعیت: ۱ اطمینان از اینکه اطلاعات، صحیح و کامل است؛ یعنی دستخوردگی و عدم تغییر پیام و اطمینان از آنکه دادهها با اطلاعات مخرب مثل یک ویروس آلوده نشدهاند.
محرمانگی: ۲ اطمینان از اینکه اطلاعات تنها توسط افراد یا سازمانهای مجاز قابل استفاده است و هیچگونه فاشسازی اطلاعات برای افراد تشخیص و تأیید هویت نشده، صورت نخواهد گرفت.
شناسایی و احراز هویت: ۳ گیرنده و فرستنده، هر دو باید بتوانند از هویت طرف مقابل خود مطمئن باشند و اطمینان از اینکه پیام حقیقت از کسی که تصور میکنید، رسیده باشد.
انکارناپذیری: ۴ هیچیک از دو سوی ارتباط نتوانند مشارکت خود در ارتباط را انکار کنند؛ یعنی تمام امکانات شبکه بدون دردسر و زحمت در اختیار آنها که مجاز به استفاده از شبکه هستند، باشند و در ضمن هیچکس نتواند در دسترسی به شبکه ایجاد اشکال نماید.
در مقالهای که پیش رو دارید ابتدا به مبحث شناسایی و احراز هویت و انواع تکنیکهای احراز هویت بعنوان یکی از مهمترین عوامل امنیت اطلاعات پرداخته میشود. در ادامه تعاریف سیستم SSO و مکانیزم پشتیبان آن CAS بعنوان یکی از انواع سیستمهای احراز هویت ارائه میشود. درنهایت ساختار پیادهسازی SSO توضیح داده خواهد شد.
۱- شناسایی و احراز هویت (I & A)
شناسایی و احراز هویت دو هسته اصلی در بیشتر سیستمهای کنترل دسترسی هستند.
شناسایی عملی است که یک کاربر برای معرفی خود به یک سیستم اطلاعاتی استفاده میکند که معمولا در قالب یک شناسه ورود یا Login ID وجود دارد. درواقع شناسایی، فرایندی است که طی آن، فرد هویتی را اظهار میکند و از این نقطه، پاسخگویی آغاز میشود. ارائه نام کاربری، شناسه ورود، شماره شناسایی یا کارت هوشمند توسط کاربر، نمایانگر فرایند شناسایی است.
احرازهویت عبارتست از فرآیند بررسی اعتبار هویت ادعاشده. احراز هویت نیازمند ارائه اطلاعات دیگری توسط فرد است که باید دقیقاً با هویت مذکور، مرتبط باشد و یکی از مهمترین مباحث در حوزه امنیت سیستمهای کامپیوتری میباشد. احراز هویت، هویت فرد را بوسیله مقایسه یک یا چند عامل با پایگاه دادهای از هویتهای معتبر، بررسی میکند. بصورت کلی در حوزه امنیت اطلاعات، احراز هویت یا Authentication به چهار تیپ ساده تقسیمبندی میشود:
۱-۱- چیزی که شما میدانید (What You Know) : سادهترین و البته پرکاربردترین روش احراز هویت استفاده از نام کاربری و رمز عبور یا همان Username و Password میباشد.استفاده از رمز عبور برای احراز هویت
احراز هویت با رمز عبور
این روش بعنوان ضعیفترین شکل حفاظت محسوب میشود. رمزهای عبور ممکن است افشا شوند و به همین دلیل بایستی از آنها محافظت شود.
۱-۲- چیزی که شما دارید (What You Have): درواقع داشتن وسیلهای برای احراز هویت است که این وسیله معمولاً بعنوان کارت هوشمند یا Smartcard ، در قالب قفلها یا Token های USB و یا سایر مواردی از این قبیل میباشد و کاربر برای احراز هویت حتماً باید این وسیله را همراه خود داشته باشد. برای احراز هویت شدن در چنین روشی کاربر میبایست Smartcard یا Token خود را در دستگاهی که ویژه احراز هویت طراحی شده است وارد کند.احراز هویت با Token
احراز هویت با Token
در واقع token ها ابزارهای فیزیکی هستند که در اندازهایی مانند کارتهای هوشمند و یا حافظههای فلش وجود دارند و دستگاههای مولد رمز عبور هستند که افراد باید آنها را همراه خود داشته باشند. این ابزارها وظیفه نگهداری یا تولید
رمزهای عبور ایستا و یا پویا را برعهده دارند. چند نوع توکن داریم
توکنهای رمز عبور ایستا
توکنهای رمزهای عبور پویای همگام
توکنهای رمزهای عبور پویای ناهمگام
۱-۳- چیزی که شما هستید (What You Are): درواقع احراز هویت با استفاده از ویژگیهای خاص بدن شماست، چهره شما، اثر انگشت شما، DNA شما، شبکیه و مردمک چشم شما از مواردی است که جزو این عامل به حساب میایند و قطعاً تا به حال اثبات شده است که اثر انگشت و DNA شما در کل دنیا منحصربه فرد میباشد .احراز هویت با عوامل بیومتریک
احراز هویت با عوامل بیومتریک
عامل بیومتریک، عبارتست از یک ویژگی و خصیصه رفتاری یا فیزیولوژیکی که برای هر فرد یکتا است. بیومتریک یک سیستم خودکار است که انسانها را از روی ویژگیهای فیزیولوژیکی و همچنین رفتارهای فرد شناسایی و احراز هویت میکند. در اینگونه سیستمها یک پایگاه داده از تصاویر مربوط به ویژگیهای فیزیولوژیکی افراد وجود دارد که به محض درخواست فرد برای احراز هویت، این تصاویر با تصویر ویژگیهای فرد مقایسه شده و درنهایت درصورتیکه تصویر مربوطه در پایگاه داده وجود داشته باشد شخص احراز هویت میشود. مقیاسهای کارایی تجهیزات بیومتریک را میتوان در درصد خطاهای رخ داده بشمار آورد:
خطای (FRR ( False Rejection Rate
خطای (FAR ( False Acceptance Rate
خطای (CER (Crossover Error Rate
۱-۴- آنچه که شما انجام میدهید (What You DO): برخی اوقات میتوان فاکتور چهارمی نیز به این موارد اضافه کرد که معمولاً به آن چیزی که شما انجام میدهید نیز گفته میشود. برای مثال، میتوان افراد را با استفاده از روش و ریتم استفاده از Keyboard و تایپ کردن توسط آن (KeyStroke Dynamics) شناسایی و احراز هویت کرد؛ که این یک تکنیک احراز هویت بیومتریک یا شیوه رفتاری شما میباشد و جزو دستهبندی Two – Factor Authentication هاست. هر فردی زمان استفاده از کیبورد و تایپ کردن رفتار و روش استفاده خاص خود را دارد که پارامترهایی همچون زمان و نحوه فشردن کلیدها از این دسته رفتارها میباشد.اجراز هویت با KeyStroke Dynamics
در سازمانها، به مرور زمان نرمافزارهای مختلفی نصب و راهاندازی شدهاند که هرکدام قسمتی از سازمان را مکانیزه مینمایند؛ بنابراین کاربران سازمان برای ورود به هرکدام از این برنامههای کاربردی، نیاز به کلمه عبور و نام کاربری مجزایی دارند که مشکلات زیر را برای مدیران و کاربران سازمان ایجاد کرده است
نیاز مکرر به واردکردن نام کاربری و کلمه عبور برای ورود به هرکدام از برنامههای کاربردی
فراموش کردن کلمه عبور و نام کاربری بعضی از این نرمافزارها و درخواستهای مکرر برای بازنشانی آنها
عدم وجود امکان ردگیری ورود و خروج کاربران به نرمافزارهای مختلف
عدم توانایی برقراری ارتباطات اتوماتیک بین سیستمهای Front-end مانند پرتالها با سیستمهای end-Back مانند اتوماسیون اداری
عامل بیومتریک، عبارتست از یک ویژگی و خصیصه رفتاری یا فیزیولوژیکی که برای هر فرد یکتا است. بیومتریک یک سیستم خودکار است که انسانها را از روی ویژگیهای فیزیولوژیکی و همچنین رفتارهای فرد شناسایی و احراز هویت میکند. در اینگونه سیستمها یک پایگاه داده از تصاویر مربوط به ویژگیهای فیزیولوژیکی افراد وجود دارد که به محض درخواست فرد برای احراز هویت، این تصاویر با تصویر ویژگیهای فرد مقایسه شده و درنهایت درصورتیکه تصویر مربوطه در پایگاه داده وجود داشته باشد شخص احراز هویت میشود. مقیاسهای کارایی تجهیزات بیومتریک را میتوان در درصد خطاهای رخ داده بشمار آورد:
خطای (FRR ( False Rejection Rate
خطای (FAR ( False Acceptance Rate
خطای (CER (Crossover Error Rate
۱-۴- آنچه که شما انجام میدهید (What You DO): برخی اوقات میتوان فاکتور چهارمی نیز به این موارد اضافه کرد که معمولاً به آن چیزی که شما انجام میدهید نیز گفته میشود. برای مثال، میتوان افراد را با استفاده از روش و ریتم استفاده از Keyboard و تایپ کردن توسط آن (KeyStroke Dynamics) شناسایی و احراز هویت کرد؛ که این یک تکنیک احراز هویت بیومتریک یا شیوه رفتاری شما میباشد و جزو دستهبندی Two – Factor Authentication هاست. هر فردی زمان استفاده از کیبورد و تایپ کردن رفتار و روش استفاده خاص خود را دارد که پارامترهایی همچون زمان و نحوه فشردن کلیدها از این دسته رفتارها میباشد.اجراز هویت با KeyStroke Dynamics
در سازمانها، به مرور زمان نرمافزارهای مختلفی نصب و راهاندازی شدهاند که هرکدام قسمتی از سازمان را مکانیزه مینمایند؛ بنابراین کاربران سازمان برای ورود به هرکدام از این برنامههای کاربردی، نیاز به کلمه عبور و نام کاربری مجزایی دارند که مشکلات زیر را برای مدیران و کاربران سازمان ایجاد کرده است
نیاز مکرر به واردکردن نام کاربری و کلمه عبور برای ورود به هرکدام از برنامههای کاربردی
فراموش کردن کلمه عبور و نام کاربری بعضی از این نرمافزارها و درخواستهای مکرر برای بازنشانی آنها
عدم وجود امکان ردگیری ورود و خروج کاربران به نرمافزارهای مختلف
عدم توانایی برقراری ارتباطات اتوماتیک بین سیستمهای Front-end مانند پرتالها با سیستمهای end-Back مانند اتوماسیون اداری
۲- مکانیزم Central Authentication service) CAS)
سرویس مرکزی احراز هویت میباشد که توانایی یکپارچهسازی فرآیند تصدیق هویت را دارد. برای پیادهسازی امن، احراز هویت مبتنی بر وب باید سرویس یا درگاهی را بعنوان مرجع انتخاب کرده و کلیه درخواستهای تصدیق هویت سرویسهای درونسازمانی و پورتال را به این مرکز ارجاع داده و نتیجه احراز هویت را از این مرکز دریافت نمائیم. این به زبان ساده شمای کلی کاری که CAS انجام میدهد را بیان میکند. از قابلیتهای اصلی این سرویس ایجاد یک تونل امنیتی میان کامپیوتر کاربر و سرور مرکزی است که باعث میشود اطلاعات محرمانه کاربران سایت تحت پروتکلهای امنیتی SSL جابجا شوند. CAS ، از ۳ واحد کاری تشکیل شده است:
مرورگر کاربر- مرجع ارتباط دهنده درخواستهای تصدیق هویت به سرویس احراز هویت – سرویس دهنده
در اینجا CAS نقش دوم (یعنی مرجع ارتباط دهنده درخواستهای تصدیق هویت به سرویس احراز هویت) را ایفا میکند.
بمحض درخواست کاربر برای دسترسی به سرویسهای درونسازمانی، درخواستهای تصدیق هویت از سرویسهای مربوطه به پورتال ارسال میشود که در ادامه با استعلام واحد سرویس گیرنده CAS از سرویس دهنده هویت کاربر تعیین و تائید و یا رد میگردد.
سرویس دهنده CAS میتواند برای پروسه تصدیق هویت از منابع اطلاعاتی گستردهای همچون بانکهای اطلاعاتی رابطهای یا سرویسدهنده دایرکتوری(LDAP) و … بهرهبرداری نماید. مکانیزم پشتیبانی شده توسط این سیستم را Single Sign On (SSO) مینامند.
۳- سیستم امنیت متمرکز ( SSO )
عبارت SSO مخفف Single Sign On به عمل وارد شدن یک کاربر به سایتها و برنامههای مختلف تنها با یک نام کاربری و گذرواژه یکسان میگویند.
به این معنی که اطلاعات مربوط به اعتبار سنجی و تائید هویت کاربر یعنی user name و password ، در یک ناحیه امن بصورت موقت نگهداری میشود و از آن پس این کاربر بمنظور ورود به سایتها و بخشهای مختلف)دسترسی به برنامههای متعدد) نیازی نیست مجدداً Login نماید . این سیستم قابلیت متمرکز کردن احراز هویت انواع سیستمهای نرمافزاری، فارغ از مکانیزم مورد استفاده برای احراز هویت را در خود دارد. در ساختار SSO کاربر صرفا یک نام کاربری و رمز عبور یکتا در شبکه دارد که بلافاصله بعد از اینکه وارد یک سیستم در ساختار SSO شود میتواند از تمامی منابعی که برای وی در شبکه تعریف شده است استفاده کند، بدون نیاز به اینکه برای هر منبع اطلاعاتی نام کاربری و رمز عبور جدیدی وارد کند.
در SSO امنیت کلمه عبور بسیار حائز اهمیت است و اکانتهایی که بین سیستمها انتقال پیدا مینمایند باید بصورت رمزنگاری شده بکار گرفته شوند. سهولت در ویرایش اکانتها)مثل تغییر رمز عبور) و حذف حسابهای کاربری در مدیریت سیستمها، از مزیتهای SSO به شمار میایند.
ساختار پیادهسازی SSO از مراحل زیر تشکیل شده است:
استفاده از دایرکتوری مرکزی جهت Authentication
تصدیق کاربران بر اساس این دایرکتوری
تعیین مجوزهای کاربران بر اساسCredential های مربوطه
پیادهسازیSSOبه روشهای مختلفی صورت میپذیرد که دو روش آن در زیر آورده شده است:
اسکریپت: در این روش، اسکریپت اطلاعات اکانت کاربر را بصورت رمزگذاری شده به سیستم تشخیص هویت ارسال میکند و پس از تائید هویت، کاربر وارد سیستم میشود.
کوکی: در این روش کوکیهای سیستم کاربر به سروری که کاربر میخواهد به آن وارد شود ارسال میشود. در واقع سیستمهای نرمافزاری تحت وبی که دامنه(Domain) مشابه دارند، اما بر روی چند سرور قرارگرفتهاند، جهت تشخیص هویت کاربر از کوکیهایی استفاده مینمایند که بصورت رمزنگاریشده هستند و بر روی سیستم کاربر قرارگرفتهاند. به این ترتیب هویت کاربر در تمامی سرورها تائید میشود.
۴- انواع پروتکلهای پشتیبان قابلیت SSO
پروتکلهای Kerberos ، SESAME ، Kryptoknight و NetSP از انواع سیستمهای احراز هویت هستند که قابلیتهای مربوط به SSO را پشتیبانی میکنند.
معرفی پروتکل Kerberos
در واقع Kerberos نام یک پروتکل قابل اعتماد احراز هویت است که با استفاده از رمزنگاری کلید متقارن، این قابلیت را دارد که کلاینتها را برای معرفی به سرویسهای دیگر تحت شبکه احراز هویت کند این پروتکل در برابر حملاتPassword Guessingضعیف عمل میکند.
معرفی پروتکل SESAME
برای پوشش دادن و رفع یک سری از مشکلات و نقاط ضعف امنیت موجود در پروتکل Kerberos پروژه SESAME ایجاد شد. SESAME مخفف Secure European System for Applications in multi-vendor Environment است. در این پروژه از ساختار رمزنگاری کلید عمومی برای توزیع کلیدهای سری و همچنین پشتیبانی از سیستمهای کنترل دسترسی بیشتر استفاده میشود.
معرفی پروتکل Kryptonite
سرویس مرکزی احراز هویت میباشد که توانایی یکپارچهسازی فرآیند تصدیق هویت را دارد. برای پیادهسازی امن، احراز هویت مبتنی بر وب باید سرویس یا درگاهی را بعنوان مرجع انتخاب کرده و کلیه درخواستهای تصدیق هویت سرویسهای درونسازمانی و پورتال را به این مرکز ارجاع داده و نتیجه احراز هویت را از این مرکز دریافت نمائیم. این به زبان ساده شمای کلی کاری که CAS انجام میدهد را بیان میکند. از قابلیتهای اصلی این سرویس ایجاد یک تونل امنیتی میان کامپیوتر کاربر و سرور مرکزی است که باعث میشود اطلاعات محرمانه کاربران سایت تحت پروتکلهای امنیتی SSL جابجا شوند. CAS ، از ۳ واحد کاری تشکیل شده است:
مرورگر کاربر- مرجع ارتباط دهنده درخواستهای تصدیق هویت به سرویس احراز هویت – سرویس دهنده
در اینجا CAS نقش دوم (یعنی مرجع ارتباط دهنده درخواستهای تصدیق هویت به سرویس احراز هویت) را ایفا میکند.
بمحض درخواست کاربر برای دسترسی به سرویسهای درونسازمانی، درخواستهای تصدیق هویت از سرویسهای مربوطه به پورتال ارسال میشود که در ادامه با استعلام واحد سرویس گیرنده CAS از سرویس دهنده هویت کاربر تعیین و تائید و یا رد میگردد.
سرویس دهنده CAS میتواند برای پروسه تصدیق هویت از منابع اطلاعاتی گستردهای همچون بانکهای اطلاعاتی رابطهای یا سرویسدهنده دایرکتوری(LDAP) و … بهرهبرداری نماید. مکانیزم پشتیبانی شده توسط این سیستم را Single Sign On (SSO) مینامند.
۳- سیستم امنیت متمرکز ( SSO )
عبارت SSO مخفف Single Sign On به عمل وارد شدن یک کاربر به سایتها و برنامههای مختلف تنها با یک نام کاربری و گذرواژه یکسان میگویند.
به این معنی که اطلاعات مربوط به اعتبار سنجی و تائید هویت کاربر یعنی user name و password ، در یک ناحیه امن بصورت موقت نگهداری میشود و از آن پس این کاربر بمنظور ورود به سایتها و بخشهای مختلف)دسترسی به برنامههای متعدد) نیازی نیست مجدداً Login نماید . این سیستم قابلیت متمرکز کردن احراز هویت انواع سیستمهای نرمافزاری، فارغ از مکانیزم مورد استفاده برای احراز هویت را در خود دارد. در ساختار SSO کاربر صرفا یک نام کاربری و رمز عبور یکتا در شبکه دارد که بلافاصله بعد از اینکه وارد یک سیستم در ساختار SSO شود میتواند از تمامی منابعی که برای وی در شبکه تعریف شده است استفاده کند، بدون نیاز به اینکه برای هر منبع اطلاعاتی نام کاربری و رمز عبور جدیدی وارد کند.
در SSO امنیت کلمه عبور بسیار حائز اهمیت است و اکانتهایی که بین سیستمها انتقال پیدا مینمایند باید بصورت رمزنگاری شده بکار گرفته شوند. سهولت در ویرایش اکانتها)مثل تغییر رمز عبور) و حذف حسابهای کاربری در مدیریت سیستمها، از مزیتهای SSO به شمار میایند.
ساختار پیادهسازی SSO از مراحل زیر تشکیل شده است:
استفاده از دایرکتوری مرکزی جهت Authentication
تصدیق کاربران بر اساس این دایرکتوری
تعیین مجوزهای کاربران بر اساسCredential های مربوطه
پیادهسازیSSOبه روشهای مختلفی صورت میپذیرد که دو روش آن در زیر آورده شده است:
اسکریپت: در این روش، اسکریپت اطلاعات اکانت کاربر را بصورت رمزگذاری شده به سیستم تشخیص هویت ارسال میکند و پس از تائید هویت، کاربر وارد سیستم میشود.
کوکی: در این روش کوکیهای سیستم کاربر به سروری که کاربر میخواهد به آن وارد شود ارسال میشود. در واقع سیستمهای نرمافزاری تحت وبی که دامنه(Domain) مشابه دارند، اما بر روی چند سرور قرارگرفتهاند، جهت تشخیص هویت کاربر از کوکیهایی استفاده مینمایند که بصورت رمزنگاریشده هستند و بر روی سیستم کاربر قرارگرفتهاند. به این ترتیب هویت کاربر در تمامی سرورها تائید میشود.
۴- انواع پروتکلهای پشتیبان قابلیت SSO
پروتکلهای Kerberos ، SESAME ، Kryptoknight و NetSP از انواع سیستمهای احراز هویت هستند که قابلیتهای مربوط به SSO را پشتیبانی میکنند.
معرفی پروتکل Kerberos
در واقع Kerberos نام یک پروتکل قابل اعتماد احراز هویت است که با استفاده از رمزنگاری کلید متقارن، این قابلیت را دارد که کلاینتها را برای معرفی به سرویسهای دیگر تحت شبکه احراز هویت کند این پروتکل در برابر حملاتPassword Guessingضعیف عمل میکند.
معرفی پروتکل SESAME
برای پوشش دادن و رفع یک سری از مشکلات و نقاط ضعف امنیت موجود در پروتکل Kerberos پروژه SESAME ایجاد شد. SESAME مخفف Secure European System for Applications in multi-vendor Environment است. در این پروژه از ساختار رمزنگاری کلید عمومی برای توزیع کلیدهای سری و همچنین پشتیبانی از سیستمهای کنترل دسترسی بیشتر استفاده میشود.
معرفی پروتکل Kryptonite
سیستم Kryptonite متعلق به شرکت IBM است که سرویسهای احراز هویت، SSO و توزیع کلید را در یکجا در خود ارائه میدهد. این سیستم برای استفاده در کامپیوترهایی طراحی شد که قابلیتهای محاسباتی متنوعی داشتند.
یکی از تفاوتهایی که Kryptonite با Kerberos دارد این است که در این پروتکل یک رابطه Peer-to-Peer بین طرفین ارتباط برقرار میشود.
یکی از تفاوتهایی که Kryptonite با Kerberos دارد این است که در این پروتکل یک رابطه Peer-to-Peer بین طرفین ارتباط برقرار میشود.
حمله Cross-VM در ماشینهای مجازی
در این حمله مهاجم تلاش میکند که یک ماشین مجازی دیگر در میزبان مشابه را مورد حمله قرار دهد. نمونههایی از چنین حملاتی محدودکردن دسترسی ماشینهای مجازی یا بازیابی اطلاعات حساس از آنها است. حملات نوع دوم یعنی بازیابی اطلاعات حساس از ماشینهای مجازی توسط یک ماشین مجازی مهاجم در میزبان مشابه، معمولاً با استفاده از کانالهای جانبی مختلف مانند کانالهای پنهان حافظه نهان، مبتنی بر شبکه (مانند علامتگذاری شبکه و اثر انگشت ) و یا مبتنی بر حافظه (کانالهای پنهان گذرگاه حافظه)، قابل انجام است. در حقیقت، از آنجایی که ماشینهای مجازی از منابع سختافزاری مشترک مانند CPU، حافظه و شبکه استفاده میکنند، یک ماشین مجازی نفوذی میتواند اطلاعاتی را از دیگر ماشینهای مجازی به دست آورد. مهاجم ابتدا سعی میکند مکان ماشین مجازی مورد نظر را شناسایی کرده و سپس ماشین مجازی خود را بر روی همان میزبان قرار میدهد.
حملات Cross-VM مبتنی بر حافظه نهان در واقع مبتنی بر اطلاعات مربوط به رقابت مهاجم و قربانی برای گرفتن فضا در آن است. هرگونه سوءاستفاده از حافظه نهان در نتیجهی دسترسی مشترک مهاجم و قربانی به آن است. در واقع مهاجم از روی تغییرات انجام گرفته در حافظه نهان توسط قربانی، حمله خود را انجام میدهد. این کار بسیار سخت است، زیرا حافظه نهان کوچک است و به طور معمول هیچکدام از دادههای مهاجم برای زمان کافی در حافظه نهان ذخیره نمیشود تا اجازه دهد مهاجم در مورد عملیات انجام شده توسط قربانی اطلاعاتی به دست آورد. این حمله نیاز به این دارد که مهاجم بتواند، با به وجود آوردن وقفههای زیاد، نرخ تعویض متن بالایی را در حافظه نهان به وجود آورد.
این حمله به این صورت انجام میگیرد که مهاجم تلاش میکند با ایجاد وقفههای متوالی حافظه نهان را در دست بگیرد. به این ترتیب مانع از آن میشود که ماشین مجازی قربانی برای زمان مناسبی حافظه نهان را در اختیار داشته باشد و زمانهایی که حافظه نهان در اختیار قربانی است بسیار کوتاه میشود. یک مهاجم حرفهای از این طریق میتواند یک حمله کانال جانبی انجام داده و اطلاعاتی را از ماشین مجازی قربانی بهدست آورد. بنابراین، به وجود آوردن وقفههای زیاد توسط یک ماشین مجازی میتواند یکی از راههای شناسایی این حمله باشد.
در این حمله مهاجم تلاش میکند که یک ماشین مجازی دیگر در میزبان مشابه را مورد حمله قرار دهد. نمونههایی از چنین حملاتی محدودکردن دسترسی ماشینهای مجازی یا بازیابی اطلاعات حساس از آنها است. حملات نوع دوم یعنی بازیابی اطلاعات حساس از ماشینهای مجازی توسط یک ماشین مجازی مهاجم در میزبان مشابه، معمولاً با استفاده از کانالهای جانبی مختلف مانند کانالهای پنهان حافظه نهان، مبتنی بر شبکه (مانند علامتگذاری شبکه و اثر انگشت ) و یا مبتنی بر حافظه (کانالهای پنهان گذرگاه حافظه)، قابل انجام است. در حقیقت، از آنجایی که ماشینهای مجازی از منابع سختافزاری مشترک مانند CPU، حافظه و شبکه استفاده میکنند، یک ماشین مجازی نفوذی میتواند اطلاعاتی را از دیگر ماشینهای مجازی به دست آورد. مهاجم ابتدا سعی میکند مکان ماشین مجازی مورد نظر را شناسایی کرده و سپس ماشین مجازی خود را بر روی همان میزبان قرار میدهد.
حملات Cross-VM مبتنی بر حافظه نهان در واقع مبتنی بر اطلاعات مربوط به رقابت مهاجم و قربانی برای گرفتن فضا در آن است. هرگونه سوءاستفاده از حافظه نهان در نتیجهی دسترسی مشترک مهاجم و قربانی به آن است. در واقع مهاجم از روی تغییرات انجام گرفته در حافظه نهان توسط قربانی، حمله خود را انجام میدهد. این کار بسیار سخت است، زیرا حافظه نهان کوچک است و به طور معمول هیچکدام از دادههای مهاجم برای زمان کافی در حافظه نهان ذخیره نمیشود تا اجازه دهد مهاجم در مورد عملیات انجام شده توسط قربانی اطلاعاتی به دست آورد. این حمله نیاز به این دارد که مهاجم بتواند، با به وجود آوردن وقفههای زیاد، نرخ تعویض متن بالایی را در حافظه نهان به وجود آورد.
این حمله به این صورت انجام میگیرد که مهاجم تلاش میکند با ایجاد وقفههای متوالی حافظه نهان را در دست بگیرد. به این ترتیب مانع از آن میشود که ماشین مجازی قربانی برای زمان مناسبی حافظه نهان را در اختیار داشته باشد و زمانهایی که حافظه نهان در اختیار قربانی است بسیار کوتاه میشود. یک مهاجم حرفهای از این طریق میتواند یک حمله کانال جانبی انجام داده و اطلاعاتی را از ماشین مجازی قربانی بهدست آورد. بنابراین، به وجود آوردن وقفههای زیاد توسط یک ماشین مجازی میتواند یکی از راههای شناسایی این حمله باشد.